SICUREZZA INFORMATICA

DANE come base per la trasmissione sicura dei dati via e-mail

September 2 2019
Scheda utente
Altri testi utente
RSS utente

DANE con DNSSEC garantisce che la tua e-mail arrivi con sicurezza al giusto indirizzo

La vita, a volte, è più facile quando non hai più nessuna buona reputazione da perdere! (Cosí almeno dice un proverbio tedesco.) Per le persone private, ciò potrebbe applicarsi almeno in parte. Però, le società di vendita per corrispondenza, i fornitori di servizi o il settore bancario, in gran parte, vivono della loro buona reputazione e sono pertanto ansiosi di mantenere o migliorare la loro buona reputazione su Internet. Ma, se i clienti sono vittime di un cosiddetto attacco "Man in the Middle" (uomo nel mezzo), la buona reputazione si perde rapidamente. In un attacco "Man in the Middle", l'attaccante si posiziona tra il cliente e il venditore e finge di essere il venditore. Un simile attacco è possibile anche nella direzione opposta.
Per illustrare, ecco un esempio: Supponiamo che tu sia un commerciante di vendita per corrispondenza online e invii automaticamente messaggi di transazione, come fatture e conferme d'ordine. Ora questi sono passati nelle mani di un "uomo nel mezzo". La fattura non raggiunge mai il tuo cliente e nemmeno te ne accorgi. Ovviamente, non ricevi i soldi perché il cliente non ha ricevuto nessuna fattura. Cosa succede? Tu mandi un promemoria. Un promemoria senza una precedente fattura, al cliente causa fastidio e questo perde fiducia: dal punto di vista del marketing, un disastro.
Ma le cose possono andare anche peggio: se si verifica un attacco con successo, i dati sensibili del cliente, come indirizzo, coordinate bancarie e abitudini di acquisto, finiranno in mani non autorizzate. Per le compagnie di assicurazione, le compagnie di assicurazione sanitaria, le banche o anche i siti di incontri, questo è particolarmente difficile, poiché qui i dati dei clienti sono altamente sensibili.
Conseguenze sensibili
Proteggere i dati dei clienti è una priorità assoluta non solo per te, ma anche per il fornitore di servizi di posta elettronica che spedisce per tuo conto. L'articolo 33 del regolamento principi di protezione dei dati europea (DSGVO) prevede che cosa accade quando una violazione dei dati personali ha avuto luogo:
In questo caso, la persona responsabile (qui la società di marketing) deve informare l'autorità di controllo (le autorità statali per la protezione dei dati) e anche le persone interessate della violazione dei dati ai sensi dell'articolo 34 del GDPR.
Quindi non solo la tua reputazione è in pericolo, ma tutto questo può avere anche delle conseguenze finanziarie. Se la persona o il fornitore incaricato (in questo caso il fornitore di servizi di posta elettronica) commette una violazione dei dati personali ai sensi dell'articolo 58 del GDPR, le autorità di vigilanza faranno valere i loro poteri di indagine, correzione e sanzione nei confronti della persona o delle persone responsabili della violazione dei dati personali. Nel peggiore dei casi, ciò potrebbe addirittura portare a un divieto definitivo di trattamento di tali dati, il che di fatto significa un divieto di fare affari. Inoltre, o in alternativa, ai sensi dell'articolo 83 del GDPR, vengono inflitte multe consistenti fino a 20 milioni di euro o al 4% del fatturato annuo totale. L'esempio più recente è che la British Data Protection Authority (ICO) ha inflitto una multa di 205 milioni di euro a British Airways dopo che sconosciuti avevano avuto accesso ai dati dei clienti della compagnia aerea. Il fatto è che non basta proteggere al meglio il proprio server, perché un "uomo al centro" può utilizzare il punto debole nel trasporto di una e-mail da A a B. Per soddisfare i requisiti dell'articolo 5, paragrafo 1, lettera f, al fine di garantire un'adeguata sicurezza dei dati personali, è necessario proteggere i dati sensibili dei clienti utilizzando DNSSEC e DANE.
Cosa sono il DNSSEC e il DANE?
DANE (DNS-based authentication of named entities) è un metodo di test che assicura una connessione criptata tra un client e un server. Attraverso la sincronizzazione dei certificati (record TLSA), i partner di comunicazione che utilizzano DANE bloccano la debolezza concettuale di SSL/TLS, dove una terza parte potrebbe fingere di essere il "giusto server" e far trasferire i propri dati al "giusto errore". Il prerequisito per l'utilizzo di DANE è il Domain Name System Security Extensions (DNSSEC), che garantisce che le caratteristiche di test trasmesse dal DNS siano verificabili. Perché anche qui, gli aggressori potrebbero iniettare informazioni false nel DNS e portare il cliente all'errore.
Ed è così che funziona:
Come si presenta un tipico trasporto di posta con DANE? Se sei un commerciante online e invii una mail a un cliente con un account di posta su example.de, ecco come funziona:
• Il server di posta determina il server di posta responsabile per il dominio del destinatario. Controlla inoltre se il server DNS offre il DNSSEC del destinatario del dominio.
• Se il server DNS offre DNSSEC, il suo server di posta controlla se esiste un record TLSA per il dominio del destinatario.
• Quindi il tuo server di posta stabilisce una connessione al server di posta del dominio del destinatario. Se questo non fornisce STARTTLS per la crittografia della connessione, il suo server di posta si interrompe immediatamente, poiché il sospetto di un attacco di downgrade è nella stanza.
• Se il server di destinazione offre STARTTLS, il suo server di posta avvia una connessione crittografata TLS. In tal modo, confronta il checksum del certificato del server di destinazione con le informazioni TLSA ricevute tramite DNSSEC.
• Se i totali corrispondono, il server di destinazione è verificato. Se i totali non corrispondono, un client abilitato per DANE interromperà immediatamente a causa di un sospetto attacco "uomo nel mezzo". I client tradizionali ora continuano a inviare ignari e inviare dati a una destinazione non affidabile.
Finora, così sicuro. Affinché DANE funzioni con DNSSEC, sia DANE che DNSSEC devono essere impostati sul server di posta del commerciante online. Se per l'invio viene utilizzato un provider di servizi di posta elettronica, la piattaforma di posta elettronica deve essere estesa in modo che anche le query DNS possano verificare la funzionalità DNSSEC e utilizzare le sue funzionalità di verifica.
Le basi sono state a lungo date. "DNSSEC è un processo maturo che è rimasto stabile per anni", afferma Patrick Koetter (leader del gruppo di competenza dei gruppi "Anti-Abuse" e "e-mail" di eco-Verband der Internetwirtschaft e.V.). "L'esperienza pratica su piattaforme ISP di grandi dimensioni e misurazioni mostra che le preoccupazioni di alcuni amministratori sono tecnicamente insostenibili".
Considerando le conseguenze finanziarie e la perdita di reputazione che un attacco di downgrade e / o un attacco "man in the middle" possono comportare, si paga lo sforzo una tantum di attivare DANE e DNSSEC. Forniscono l'unico modo automatico ed economico per garantire un trasferimento dati tra server e-mail.
Leggi le tecnologie correlate e approfondisci l'argomento durante un seminario del CSA Summit 2020.



Licenza di distribuzione:
Katja Schoenafinger
Pubbliche relazioni - TEMA Technologie Marketing AG
Vedi la scheda di questo utente
Vedi altre pubblicazioni dell'utente
RSS di questo utente
© Pensi che questo testo violi qualche norma sul copyright, contenga abusi di qualche tipo? Leggi come procedere